近年來���,伴隨數(shù)據(jù)泄露事件頻發(fā)�����,人們對于數(shù)據(jù)庫安全的重視程度與日俱增��。在政府����、機關(guān)部委、金融����、能源等行業(yè)的信息安全建設中,數(shù)據(jù)庫審計��、數(shù)據(jù)庫防火墻等安全設備紛紛被定義為“必需品”�,然而部署于網(wǎng)絡層的安全設備終究鞭長莫及,面對來自存儲層的數(shù)據(jù)文件泄密����,依然無能為力����。
在對數(shù)據(jù)庫的縱深安全防護體系中,存儲層加密作為數(shù)據(jù)庫“底線防守”的最有效手段��,從存儲層對敏感數(shù)據(jù)進行有效加密保護���。這樣�����,從根本上解決了諸如數(shù)據(jù)文件竊取�����、高權(quán)限特權(quán)用戶直接登錄數(shù)據(jù)庫主機批量檢索篡改數(shù)據(jù)等安全問題����。
目前大多數(shù)數(shù)據(jù)在內(nèi)部存儲是以明文方式存儲的,這種情況下�,一旦數(shù)據(jù)被有意無意的帶出內(nèi)部環(huán)境,將面臨泄密風險�;另一方面,內(nèi)部高權(quán)限用戶對于數(shù)據(jù)的訪問權(quán)限過高�����,同樣存在數(shù)據(jù)被惡意利用的風險���。
在數(shù)據(jù)安全治理體系中針對這種情況�����,建議建立數(shù)據(jù)加密機制���,將重要數(shù)據(jù)在數(shù)據(jù)庫中進行加密方式存儲,無論受到外部攻擊導致“拖庫”����,還是內(nèi)部人員惡意攜帶數(shù)據(jù)文件�����,在未得到授權(quán)的情況下 都無法對數(shù)據(jù)內(nèi)容進行提取或破解�����。
數(shù)據(jù)內(nèi)部存儲安全
數(shù)據(jù)加密技術(shù)中的加密算法既要支持我國密碼管理機構(gòu)認定的加密算法���,也要支持國際先進的密碼算法。需要支持對數(shù)據(jù)庫指定列或表進行加密�,保證敏感數(shù)據(jù)以密文形式存儲的同時兼顧性能不受大的影響,從而實現(xiàn)數(shù)據(jù)存儲層的安全加固�。
數(shù)據(jù)存儲加密技術(shù)還需要支持透明加密解密���,以保障用戶的加密成本最小化和執(zhí)行效率最大化����。透明的數(shù)據(jù)加密有兩層含義:一是對應用系統(tǒng)透明����,即用戶或開發(fā)商無需對應用系統(tǒng)進行任何改造�;二是對有密文訪問權(quán)限的用戶顯示明文數(shù)據(jù)��,且加�、解密過程對用戶完全透明。
數(shù)據(jù)存儲加密技術(shù)還需要支持三權(quán)分立�,這在我國的等保規(guī)定中是有明確要求的。對于常規(guī)數(shù)據(jù)庫管理賬戶要求增設數(shù)據(jù)安全管理員(DSA;Data Security Administrator)���。DSA和DBA相互獨立�����,共同實現(xiàn)對敏感字段的存取控制�,實現(xiàn)責權(quán)一致��。DBA實現(xiàn)對普通字段一般性訪問權(quán)限控制��,DSA實現(xiàn)對敏感字段的加密脫密處理和密文訪問權(quán)限控制�。該功能需要在數(shù)據(jù)加密存儲的基礎上,實現(xiàn)密文訪問權(quán)限體系���,對數(shù)據(jù)庫用戶進行強制訪問控制��,有效防止特權(quán)用戶對敏感數(shù)據(jù)的非法訪問�����。
數(shù)據(jù)庫加密技術(shù)作為數(shù)據(jù)庫安全的最后一道鐵閘�,其自身的安全性和容災機制應該具有充分的保障,能夠具備與數(shù)據(jù)庫的數(shù)據(jù)集成存儲��、RAC支持�����、雙機熱備��、應急模式����、多進程冗余、透明故障切換����、數(shù)據(jù)錯誤忽略�、備份恢復等技術(shù),從而提供與數(shù)據(jù)庫相當?shù)母呖捎弥С趾彤惓9收咸幚砟芰?����,使用戶感到既安全,又安心���,加密后的整套?shù)據(jù)庫環(huán)境仍然可以安全高效的運行�����。
產(chǎn)品咨詢:4000 258 365 
